超级会员免费看
本文介绍了CVE、CNA、CWE、CVSS和OWASP等关键概念在网络安全中的作用。CVE是通用漏洞披露,为漏洞分配唯一标识;CNA是CVE编号机构,包括MITRE和其他组织;CWE是通用缺陷枚举,用于事前预防;CVSS是通用漏洞评估系统,为漏洞评分;OWASP则发布Web应用的十大安全威胁。文章通过Apache Log4j2漏洞案例,阐述了这些概念的实际应用。
2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞,漏洞编号CVE-2021-44228,一时间风声鹤唳, Log4j2 本身、各种第三方使用到Log4j2的库和框架的解决方案纷至沓来。CVSS定义改漏洞严重程度为10级。 紧随其后,Log4j2 有被爆出 CVE-2021-45046, CVE-2021-45105的漏洞,Log4j2 频繁升级, 开发者也是手忙脚乱。
通过上述事件, 可能有以下一些疑问:
- 漏洞编号(类似CVE-2021-45046 )是怎么来的? 是由谁给出的呢?
- CVSS 定义了漏洞等级, CVSS 又是什么? 定义和维护漏洞的还要哪些组织和机构呢?
本篇解释的基本概念包括:
- CVE , Common Vulnerabilities & Exposures,通用漏洞披露
- CNA: CVE Numbering Authority,CVE编号机构
- NVD - National Vulnerability Database ,美国国家漏洞数据库
- CVSS , Common Vulnerability Scoring System, 通用漏洞评估系统
- CWE, Common W
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
